Qué es el phishing: las estrategias más comunes de estafa
¿Buscas estar a salvo en Internet? Pues entonces necesitas saber qué es el phishing. Como introducción, el phishing es una técnica de fraude en línea que implica engañar a las personas para que revelen información personal, financiera o de otra índole. ¡Por ello, necesitas saber cómo funcionan estos ciberataques!
A diferencia de otras estafas que pueden ser más directas o violentas, el phishing se basa en la manipulación. Con ella, se hace creer a las víctimas que están interactuando con entidades legítimas. Por ejemplo, los bancos, compañías de software o los servicios gubernamentales.
Este tipo de engaño se distingue por su uso de la suplantación de identidad (spoofing) y la ingeniería social para obtener información confidencial de forma fraudulenta. Si ya te habías interesado en temas como “cómo eliminar un virus del celular” y quieres saber más sobre esto, sigue leyendo.
Qué es el phishing: descubre las estrategias o técnicas más comunes
Dicho esto, ¿qué maneras hay de hacer phishing? Podrías encontrar las siguientes:
Correos electrónicos fraudulentos
Son la columna vertebral de la mayoría de los ataques de phishing. Estos mensajes están diseñados para parecer como si provinieran de fuentes confiables, como instituciones financieras, corporaciones de tecnología o entidades gubernamentales. Los atacantes utilizan varias tácticas dentro de estos correos:
- Imitación de diseño: los correos electrónicos a menudo replican el diseño, el logotipo y el formato de la entidad que pretenden representar. Todo esto para convencer al receptor de su autenticidad.
- Enlaces maliciosos: los mensajes incluyen enlaces que dirigen a las víctimas a sitios web falsificados que imitan casi a la perfección las páginas oficiales. Buscan, así, capturar credenciales de acceso.
- Archivos adjuntos infectados: estos correos pueden incluir adjuntos. Una vez abiertos, instalan malware en el dispositivo del usuario. Esto permite a los atacantes robar directamente información desde el dispositivo infectado.
Qué es el phishing y los sitios web falsos
Los sitios web falsos son otro método común en las operaciones de phishing. Los atacantes crean páginas web que son copias casi idénticas de sitios legítimos, con el fin de engañar a los usuarios para que ingresen información personal; por ejemplo, números de tarjetas de crédito, credenciales de acceso y más.
Estos sitios suelen ser promovidos a través de correos electrónicos phishing o anuncios maliciosos. Algunos indicadores de sitios web falsos incluyen:
- URL con pequeñas variaciones: a menudo, las URL de estos sitios contienen pequeños errores ortográficos. También suelen utilizar dominios de nivel superior inusuales.
- Certificados de seguridad falsos: pueden mostrar sellos de seguridad falsos o certificados SSL. Así, intentan persuadir a los usuarios de que el sitio es seguro.
Qué es el phishing a través de SMS (smishing)
El smishing es una forma de phishing que utiliza mensajes de texto para engañar a las víctimas. Estos mensajes pueden parecer alertas de seguridad, notificaciones de transacciones, o incluso ofertas irresistibles. Suelen contener enlaces a sitios de phishing o solicitan que se responda con información personal. Las tácticas incluyen:
- Urgencia: se intenta crear una sensación de urgencia para provocar una respuesta rápida. Todo sin dar tiempo al receptor para pensar o verificar la información.
- Ofertas falsas: es común prometer premios o alertar sobre problemas inexistentes con cuentas bancarias o tarjetas de crédito. Con ello, se busca incitar a los usuarios a actuar de manera precipitada.
Vishing (phishing telefónico)
Es otra variante que debes comprender una vez que sabes qué es el phishing. Así que te contamos. El vishing se realiza a través de llamadas telefónicas donde un estafador, a menudo utilizando técnicas de ingeniería social avanzadas, se hace pasar por representante de una empresa o entidad gubernamental. Con ello, busca extraer información personal.
Sus métodos habituales incluyen:
- Uso de información pública: los atacantes pueden usar información disponible públicamente para ganarse la confianza de la víctima. Así, hacen que la llamada parezca más legítima.
- Presión y coacción: es similar a los métodos de smishing. Los estafadores pueden crear un sentido de urgencia o miedo, presionando a las víctimas para que entreguen rápidamente su información.
Identifica correctamente qué es el phishing
A pesar de la sofisticación de algunos ataques, hay señales reveladoras que pueden ayudarte a identificar intentos de phishing. Repasémoslas:
- Urgencia excesiva: los mensajes suelen crear un sentido de urgencia. Básicamente, te presionan para que actúes de forma rápida.
- Errores gramaticales y ortográficos: a menudo contienen errores que una entidad oficial no cometería. ¡Presta atención a este aspecto!
- URL sospechosas: al pasar el cursor sobre los enlaces (sin hacer clic), puedes ver si te dirigirán a una página web legítima o a una sospechosa.
- Solicitudes no solicitadas de información personal: las empresas legítimas raramente piden que confirmes información sensible a través de email o mensaje. Incluso, muchas te advierten que nunca te lo pedirán, como los bancos.
¿Qué es el phishing y qué tipos hay?
Más allá de las técnicas más evidentes y saber qué es el phishing, hay que resaltar otras maneras que los estafadores pueden emplear para extraer información valiosa. Por ejemplo:
- Spear phishing: está dirigido a individuos o empresas específicas. Utiliza información personalizada para hacer que los ataques parezcan más legítimos y aumentar las probabilidades de éxito. Los atacantes pueden haber recolectado previamente información sobre sus objetivos a través de redes sociales o brechas de datos. Esto hace que sus engaños sean particularmente convincentes.
- Whaling: es un subtipo de spear phishing que apunta a altos ejecutivos o importantes tomadores de decisiones dentro de una organización. Los correos electrónicos de whaling suelen disfrazarse como asuntos críticos de negocios, legalidad o liderazgo. Buscan acceder a ganancias financieras sustanciales o datos corporativos sensibles. Si sabes qué es el phishing, entonces ten cautela sobre esta variante.
- Phishing a través de las redes sociales: involucra el uso de plataformas de redes sociales para engañar a los usuarios y obtener su información personal. Los ataques pueden incluir enlaces maliciosos en publicaciones o mensajes. También cuentas falsas que imitan a personas o empresas reales. Asimismo, aplicaciones maliciosas que se disfrazan como legítimas.
- Pharming: en lugar de solicitar directamente la información al usuario, el pharming redirige a las víctimas de un sitio web legítimo a otro falso sin su conocimiento. Esto se logra infectando el dispositivo de la víctima solo con saber qué es DNS. Con ello, logran desviar las direcciones de Internet.
- Phishing de clone: este método implica crear una copia casi idéntica de un correo electrónico legítimo que ha sido previamente enviado por una entidad confiable. El correo clonado se modifica para incluir enlaces maliciosos o adjuntos. Luego, se reenvía desde una dirección que parece ser la fuente original.
Los mejores consejos para evitar el phishing
Estar informado sobre qué es el phishing es crucial; es decir, los ataques están en constante evolución, por lo que mantenerse actualizado sobre las nuevas tácticas y emplear prácticas seguras en internet son pasos fundamentales para protegerse. Evita ser víctima de estos engaños con estos tips:
¡Siempre verifica la fuente!
Antes de hacer clic en enlaces o responder a solicitudes de información, es esencial verificar la autenticidad de la fuente. Para eso, asegúrate de que las direcciones de correo y las URL provengan de dominios legítimos y sean consistentes con las comunicaciones anteriores de la entidad.
Si tienes dudas sobre la legitimidad de una comunicación, busca el número oficial de contacto de la empresa y llama para verificar.
Utiliza Autenticación de Dos Factores (2FA)
La autenticación de dos factores puede añadir una capa adicional de seguridad al requerir no solo una contraseña, sino también un segundo factor, como un mensaje de texto o una notificación en una aplicación, para acceder a una cuenta. No cuesta nada, y realmente puede hacer la diferencia.
Mantén el software actualizado si sabes qué es el phishing
Los atacantes de phishing frecuentemente explotan vulnerabilidades en software desactualizado. Mantener tu sistema operativo, navegadores, y aplicaciones actualizadas te ayuda a protegerte contra estos ataques. Por esta razón, nunca olvides mantenerte protegido de este modo.
Enseña a otros qué es el phishing
El phishing, a menudo, se propaga a través de redes de contactos. Educar a tus amigos, familiares y compañeros de trabajo sobre cómo reconocer y evitar el phishing puede reducir significativamente el alcance de estos ataques.
¡Esto no es todo! También trata de reportar correos electrónicos de phishing y otros intentos de estafa. Al fin y al cabo, no solo te protege, sino que también ayuda a alertar a otros sobre nuevas tácticas de phishing.
No divulgues información personal
Ser cauteloso sobre compartir información personal, especialmente en respuesta a solicitudes no solicitadas. Las organizaciones legítimas raramente piden que confirmes información sensible de manera tan directa. Por este motivo, siempre evita brindar estos datos, salvo una excepción muy particular.
Haz copias de seguridad regularmente
En caso de que tus dispositivos se vean comprometidos, tener copias de seguridad de tu información puede prevenir la pérdida de datos importantes. Asegúrate de realizar copias de seguridad regularmente y de almacenarlas de manera segura. Esto puede salvador en ciertas ocasiones. En conclusión, ya sabes qué es el phishing. Puedes entenderlo como una amenaza cibernética grave. No obstante, sabiendo las prácticas de seguridad adecuadas, puedes protegerte a ti y a tus datos de ser víctima de estos engaños. Mantenerse informado y ser cauteloso son la mejores defensa contra el phishing.
Referencias Bibliográficas
- Blue Voyant (2022). 8 Phishing Types and How to Prevent Them.
- Brodersen, J. (2023, 4 de agosto). Phishing: crece un 40% y hay más páginas falsas que apuntan a robarles a los usuarios. Clarín.
- Conicet. (2020, 13 de octubre). Phishing, que los hackers no roben tu identidad.
- Fernández, Y. (2024, 9 de enero). Phishing: qué es este tipo de ataque y cómo protegerte de él. Xataka.
- IBM. (2022). ¿Qué es el phishing?
- Trend Micro. (2020). What Are the Different Types of Phishing?